Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Hayden76 le mai 10, 2012, 09:00:18
-
Salut à tous.
J'ai moi aussi été infecté, tous mes fichiers sont locked.
Je pense pouvoir récupérer un fichier sain sur un autre ordi et un fichier infecté sur ma machine.
J'ai fait un scan OTL comme c'était conseillé.
Voici le fichier OTL.txt
http://pjjoint.malekal.com/files.php?id=20120510_e5o6w11n14q13
Et le fichier Extra.txt
http://pjjoint.malekal.com/files.php?id=20120510_w11d13i14f7u6
C'est grave ? merci pour votre coup de Pouce
Hayden
-
Une solution qui a fonctionné pour moi. En tout cas pour l'instant, car le logiciel est en plein travail en ce moment.
Ce logiciel c'est l'anti-malware Kapersky qui a réussi à décrypter et récupérer les fichiers Locked. :sup:
Le soft de désinfection Kapersky Trojan-Ransom.Win32.Rannoh Decryptor Tool est très efficace.
Il faut cependant avoir une copie d'un fichier "sain" et son "clone" crypté par le malware.
Ensuite, la marche à suivre est très simple et intuitive.
Par contre la désinfection d'un gros fichier peut prendre près de 30 minutes pour un Film HD de 15 Go. :AAM
Donc armez-vous de patience.
Voici le lien que j'ai utilisé :
http://jeje-info.blogspot.fr/2012/04/edit-solution-decrypter-fichier-infecte.html
Dîtes-moi si ça a marché pour vous, bon courage avec cet horrible virus
-
Bonjour Hayden76 et bienvenue sur le forum,
Le soft de désinfection Kapersky Trojan-Ransom.Win32.Rannoh Decryptor Tool est très efficace.
Oui, j'indiquais la marche à suivre dans l'autre sujet
http://forum.security-x.fr/desinfections/infection-par-un-virus-gendarmerie-nationale/msg67404/#msg67404
Tu as donc pu récupérer tous les fichiers indiqués locked ?
J'étudie tes rapports pour continuer le nettoyage.
@+
-
Non pas tous pour l'instant, mais la récuération est en cours donc c'est bien parti.
Peux-tu préciser Chantal d'après l'analyse de mes fichiers issus de l'analyse OTL de quelle infection j'ai été victime ? J'ai lu quelque part qu'il y en avait 3 principales associées à "Gendarmerie".
Merci
-
Re,
Le ransomware virus-gendarmerie a eu la part belle sur ton système qui n'est pas à jour (Java, Adobe Reader, Flash Player).
Ces failles de sécurité sont très prisées par toutes les variantes du Virus Gendarmerie.
http://forum.security-x.fr/malwares-315/%28fiches-malware%29-roguescareware-et-ransomware/
http://forum.security-x.fr/malwares-315/%28malware%29-suppression-virus-gendarme-3745/
Quand tu auras récupéré tous tes fichiers indiqués locked , applique ce qui suit.
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/webscout/{E40900E1-A828-4232-92B4-E996FA957F55}
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\WebScout Toolbar\tbhelper.dll ()
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=5137
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/webscout/{E40900E1-A828-4232-92B4-E996FA957F55}?q={searchTerms}
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {69A0352C-6112-2797-35A5-CB51C4268042} - No CLSID value found.
O2 - BHO: (no name) - {ba412d26-9ab5-f045-7850-ff61d87f8dad} - No CLSID value found.
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\WebScout Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (WebScout Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\WebScout Toolbar\tbcore3.dll ()
O3 - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2010/11/12 15:24:41 | 000,000,000 | ---D | M] -- C:\Users\Kamel\AppData\Roaming\ClickPotatoLite
[2011/10/23 04:15:00 | 000,000,352 | ---- | M] () -- C:\Windows\Tasks\Driver Robot.job
[2011/10/23 04:49:00 | 000,000,334 | ---- | M] () -- C:\Windows\Tasks\PC Medkit.job
[2011/04/15 16:16:50 | 000,099,384 | ---- | M] () -- C:\Users\Kamel\AppData\Roaming\inst.exe
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:888AFB86
:files
C:\Windows\TEMP\E_SA63D.tmp
C:\Windows\TEMP\E_S8249.tmp
:reg
HKU\S-1-5-21-92678074-1496417961-300675889-1000\Software\Microsoft\Windows\CurrentVersion\Run
"EPSON SX110 Series (Copie 1)"=-
"EPSON SX110 Series (Copie 2)"=-
"AdobeBridge"=-
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"NPSStartup"=-
[HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"mctadmin"=-
[HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"mctadmin"=-
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
- L'outil lance la suppression, ne pas l'interrompre
- Si l'outil te demande de redémarrer le PC, tu acceptes
- Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
----------------------------------------------------------------------------------------------
Puisque tu as Malwarebytes sur ton système, fais une analyse complète :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Malwarebyte's Anti-Malware :
- Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Lance une mise à jour dans l'onglet Mise à jour
- Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
- Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
- Sélectionne ton disque dur, puis clique sur Lancer l'examen
- A la fin du scan, clique sur Afficher les résultats
- Pour supprimer les éléments détectés, clique sur Supprimer la sélection
- Si un redémarrage est demandé, clique sur Yes
- Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
http://get.adobe.com/fr/flashplayer/
- Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
http://www.java.com/fr/download/
- Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
http://get.adobe.com/fr/reader/?promoid=HTEGU
- N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
- Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- C:\_OTL\MovedFiles\********_******.log
- mbam-log[date-heure].txt
- SX Check&Update
@+
-
Ok, je pense que j'en ai encore pour une 20aine d'heures à tout récupérer (si j'y arrive), ensuite, je procéderai comme tu me l'as consellé, je vous tiens au courant.
Merci pour ces précieux tuyaux :AAF
-
Re,
Oui, bien sûr, tu n'appliques les procédures indiquées que quand tu auras tout récupéré.
Tu nous diras combien de fichiers tu as récupérés.
@+
-
J'ai récupéré TOUT mes fichiers ! :AAC
Mais j'ai copié le script que tu ma'as demandé dans mais OTL plante et se met en OTL ne répond pas.
Du coup, pour me débarasser des fichiers locked, j'ai lanc" une recherche des fichiers locked et je les supprime un par un, c'est super long, mais je pense pouvoir les éliminer tous.
A ton avis, que faut-il que je fasse une fois que la supression "manuelle" est terminée ?
Merci
-
Bonjour,
Normalement RannohDecryptor se charge d’éliminer les fichiers locked après récupération.
Tu n'as pas lu la procédure dans mon lien.
Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
Pour le correctif OTL, as-tu bien fermé toutes les applications ouvertes ?
Si Malwarebytes est en résident (version Pro ou d'évaluation), désactive-le temporairement.
Relance OTL comme indiqué et retente le script.
Il faut bien tout copier-coller, y compris le début :OTL
Poste le rapport obtenu.
@+
-
Je ne sais pas ce qui se passe mais OTL plante même quand je désactive malwarebytes
-
Bonjour,
Désactive aussi ta protection résidente Panda et retente le script.
Indique-moi à quel moment exactement tu penses que OTL a planté.
Il faut laisser normalement l'outil travailler, tu le laisses tourner combien de temps avant de l'arrêter ?
@+
Message édité :
Essaye tout d'abord de lancer le script OTL en mode sans échec
-
C'est peut-être parce que ma configuration a changé et que j'ai fait une restauration avec une image disque ?
-
Bonjour,
C'est peut-être parce que ma configuration a changé et que j'ai fait une restauration avec une image disque ?
Ce n'est pas gentil de nous faire des farces pareilles :BBB
Bien sûr, le script OTL ne correspond à plus rien, puisque tu as restauré.
Nous allons quand même, par précaution, vérifier ton système maintenant restauré, si tu le viens.
Je te redonne la procédure.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de Old_Timer et enregistre le sur le Bureau
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
- Dans Registre approfondi, coche Avec liste blanche
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pe10.jpg&hash=2d2d95aabf4fb706bee0afd2d554fdf04571e2a8) (http://www.servimg.com/image_preview.php?i=530&u=12972154)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
- Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr (http://pjjoint.malekal.com/) et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.
@+
-
Sorry, :oups: j'avais même pas fait le rapprochement, j'ai fait l'analyse en mode sans échec et ça me donne ça :
Pour le fichier OTL
http://pjjoint.malekal.com/files.php?id=20120514_o10l715o8k12
Et pour le fichier Extra
http://pjjoint.malekal.com/files.php?id=20120514_t11r8z6l9c11
-
Re,
Merci pour les rapports.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle via Programmes et fonctionnalités :
- Google Toolbar for Internet Explorer (sauf si utilité)
- Iminent (programme indésirable)
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:OTL
IE - HKLM\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}
O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files (x86)\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
O3 - HKLM\..\Toolbar: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()
O4 - HKLM..\Run: [Iminent] C:\Program Files (x86)\Iminent\Iminent.exe (Iminent)
O4 - HKLM..\Run: [IminentMessenger] C:\Program Files (x86)\Iminent\Iminent.Messengers.exe (Iminent)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab (BDSCANONLINE Control)
[2012/05/10 20:46:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\IMinent Toolbar
[2012/05/10 20:46:53 | 000,000,000 | ---D | C] -- C:\Users\Kamel\AppData\Roaming\Iminent
[2012/05/10 20:46:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
[2012/05/10 20:46:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
[2012/05/10 20:46:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Iminent
[2010/11/13 12:39:25 | 000,000,000 | ---D | M] -- C:\Users\Kamel\AppData\Roaming\Panda Security
@Alternate Data Stream - 76 bytes -> C:\Users\Kamel\Desktop\Logo Bretzel Prod.jpg:Roxio EMC Stream
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{11036192-4EC2-47AA-B8AE-A7D7A1614B0E}"=-
"{19664140-5C45-4EB9-ACBF-A57D2A9D2D20}"=-
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
- L'outil lance la suppression, ne pas l'interrompre
- Si l'outil te demande de redémarrer le PC, tu acceptes
- Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) AdwCleaner - Suppression :
- Sur cette page, télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
- A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
---------------------------------------------------------------------------------------------
Puisque tu as Malwarebytes sur ton système, fais une analyse complète :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Malwarebyte's Anti-Malware :
- Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Lance une mise à jour dans l'onglet Mise à jour
- Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
- Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
- Sélectionne ton disque dur, puis clique sur Lancer l'examen
- A la fin du scan, clique sur Afficher les résultats
- Pour supprimer les éléments détectés, clique sur Supprimer la sélection
- Si un redémarrage est demandé, clique sur Yes
- Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
http://get.adobe.com/fr/flashplayer/
- Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
http://www.java.com/fr/download/
- Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
http://get.adobe.com/fr/reader/?promoid=HTEGU
- N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
- Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- C:\_OTL\MovedFiles\********_******.log
- AdwCleaner(S).txt
- mbam-log[date-heure].txt
- SX Check&Update
@+
-
Voici le fichier obtenu après correction avec OTL :
http://pjjoint.malekal.com/files.php?id=20120515_u6h11x15r6v10
-
Bonjour,
OK.
Tu peux enchaîner sur AdwCleaner, Malwarebytes et SX Check&Update.
@+
-
Voici le rapport Adwcleaner :
http://pjjoint.malekal.com/files.php?id=20120515_q12j13k14c15y13
-
Re,
Tu as installé des applications depuis hier ?
Tu n'as pas suivi les instructions pour AdwCleaner.
Je te demandais d'utiliser directement l'option Suppression.
Tu peux donc relancer AdwCleaner et tu cliques sur Suppression.
Tu postes le contenu de ce rapport dans ta prochaine réponse.
Il est inutile d'héberger les rapports pour les autres outils, tu copies-colles simplement le contenu dans ta réponse.
@+
-
Malwarebytes Anti-Malware (PRO) 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.05.15.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Kamel :: KAMEL-PC [administrateur]
Protection: Activé
15/05/2012 13:49:54
mbam-log-2012-05-15 (13-49-54).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 659827
Temps écoulé: 1 heure(s), 26 minute(s), 38 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
-
Re,
OK pour le rapport Malwarebytes.
Poste aussi le rapport de suppression de AdwCleaner, s'il te plaît.
Ensuite tu lances SX Check&Update et tu postes le contenu du rapport demandé.
@+
-
Voici le fichier Adwcleaner :
http://pjjoint.malekal.com/files.php?id=20120515_x12i8f5r14y7
-
OK :NNN
Le rapport SX Check&Update maintenant.
:D
-
Euh, je sais pas comment télécharger et lancer SX Check&Update
-
Re,
Excuse, il manque la 1ère ligne de ma procédure.
Je te la remets ci-dessous :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51 et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
- Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
- Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
- N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
- Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
-
Voici le rapport, j'ai 2 mises à jours que je n'arrive pas à faire, ce sont celles associées à CS4
SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows 7 64bits
Service Pack : 1
UserName : Kamel
15/05/2012
22:59:12
version = v0.2.3
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX
Version : 11.2.202.235
Flash Player ActiveX est à jour
---
Java Information :
Nom : Java(TM) 7 Update 4
Version : 7.0.40
Java(TM) 7 Update 4 est à jour
Name : Adobe Type Support CS4
Version : 9.0
Adobe Reader n'est pas à jour!
Nom : Adobe Reader X (10.1.3) - Français
Version : 10.1.3
Adobe Reader est à jour
Name : Adobe PDF Library Files CS4
Version : 9.0
Adobe Reader n'est pas à jour!
Nom : Internet Explorer
Version : 9.0.8112.16421
-
Bonjour,
j'ai 2 mises à jours que je n'arrive pas à faire, ce sont celles associées à CS4
N'en tiens pas compte, c'est une anomalie que Igor51 va corriger à son retour.
Ce qui nous intéresse ici c'est Flash Player, Java et Reader et ils sont maintenant à jour sur ton système.
Pour rappel, l'infection Virus Gendarmerie a exploité une de ces failles de sécurité pour s'installer sur ton système, puisque ni Java, ni Reader n'était à jour.
Nous allons donc pouvoir maintenant finaliser la procédure.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Purge points de restauration :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
- Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstallation des outils utilisés :
Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Purge d'outils
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pu10.jpg&hash=dc5fbf287c3bfd6a19d5f935367d8fcaa683bbaf) (http://www.servimg.com/image_preview.php?i=559&u=12972154)
- Valide l'avertissement par OK et laisse le pc redémarrer
- Relance AdwCleaner et clique sur Désinstaller
- Supprime SXCU et Rannoh Decryptor de ton Bureau
- Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut l'installer Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Maintenir Java, Adobe Reader et le player Flash à jour (http://www.malekal.com/2010/11/15/maintenir-java-adobe-reader-et-le-player-flash-a-jour/)
Exploitation SWF/PDF et Java - système non à jour = danger (http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html)
- Au niveau de Firefox, tu peux sécuriser ta navigation
Firefox sécurisé (http://forum.security-x.fr/tutoriels-317/firefox-securise/)
- Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés sont pour la plupart infectés.
Les risques sécuritaires du peer-to-peer en 10 points : Le P2P vu par Ogu (http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html)
Pourquoi éviter le P2P ? Point législatif et dangers (http://forum.zebulon.fr/prevention-le-p2p-et-ses-consequences-t85544.html)
[/list]
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
@+
-
Un très gros thank you pour tous ces précieux conseils Chantal.
J'ai suivi à la lettre tes instructions.
J'essaierai de garder à l'esprit les précautions de mise à jour régulières, à bientôt ;-)
-
Bonjour,
Bonne continuation et bon surf :AAC